input {
# 默认是beats，修改为tcp,接受tcp直接传输日志
tcp {
port => 5044
codec => json
}
}

filter {
ruby {
# 使用ruby将日志中大写的INFO替换成小写，index不支持大写。
code => ‘event.set("level", event.get("level").downcase)‘
}
mutate{
# 使用mutate插件修改拆分service字段中的 service_number，新生成services为service的第一个字符串。
split => ["service","_"]
add_field => ["services","%{[service][0]}"]
}
}

output {
stdout {
# 开启rubydebug
codec => rubydebug
#codec => json
}
elasticsearch {
hosts => ["192.168.8.208:9200"]
# 根据上面filter过滤出的字段，自定义索引
index => "%{services}-%{level}-%{+YYYY.MM.dd}"
}
}

logstash filter 过滤 （字符大写转小写，拆分）